You need to enable JavaScript to run this app.
导航
VPN连接
  • 文档首页
    • /VPN连接/最佳实践/与第三方云厂商互通/搭建云上VPC与AWS VPC之间互通网络(动态路由)
搭建云上VPC与AWS VPC之间互通网络(动态路由)
最近更新时间:2024.09.06 08:00:10首次发布时间:2024.09.06 08:00:10
我的收藏

本文为您介绍如何通过火山引擎VPN连接产品,以动态路由的方式建立火山引擎与AWS VPC之间的私网访问通道。

前提条件

  • 已开通火山引擎账号并完成实名认证,确保账户中有足够的余额用于购买云服务器、VPN等相关资源。
  • 已在火山引擎创建私有网络VPC-01(网段:192.168.0.0/16)及其子网,并在其中一个子网下创建一台云服务器(IP:192.168.2.88),具体操作请参见创建私有网络购买并使用云服务器实例
  • 已在AWS上创建虚拟私有云VPC-02(网段:172.31.0.0/16)和公有子网,并在公有子网下创建一台EC2(若使用CentOS需要提前在Marketplace中订阅))用于模拟业务服务器,EC2的私网地址为172.31.16.111,具体操作请参考AWS官网文档开始使用 Amazon EC2

约束限制

  • 火山引擎VPC与AWS VPC待互通的网段之间没有重叠。
  • 已开通火山引擎VPN连接动态路由功能。
  • 火山引擎VPN网关的ASN不可与AWS 虚拟专用网关的ASN相同。
  • 火山引擎IPsec连接的隧道网段必须与ASN VPN连接的IPv4 CIDR内部在同一网段。

说明

火山引擎VPN连接动态路由为邀测功能,仅开通后可使用,如需试用请联系客户经理。

信息说明

alt

资源归属VPC信息实例信息隧道网段隧道IPASN
火山引擎VPC-01(网段:192.168.0.0/16)ECS IP地址:192.168.2.88169.254.1.0/30169.254.1.165501
AWSVPC-02(网段:172.31.0.0/16)EC2 IP地址:172.31.16.111169.254.1.0/30169.254.1.265502

操作步骤

步骤一:在火山引擎侧VPC下创建VPN网关

  1. 登录火山引擎账号,前往VPN网关控制台

  2. 在顶部导航栏,选择目标项目“Project-1”和地域“华北2(北京)”。

  3. 单击“创建VPN网关”按钮。

  4. 参考下表,配置VPN网关参数。

    参数
    说明
    取值样例
    基本信息
    计费类型VPN网关的计费类型。按量计费
    地域选择VPN网关所在的地域,与VPC1地域保持一致。华北2(北京)
    名称VPN网关的名称。VPNGW-Volcano
    网络配置
    带宽规格设置VPN网关出VPC1方向的带宽上限。
    此带宽是后续基于该VPN网关,创建的所有IPsec VPN连接和SSL VPN连接的共享带宽值。    		200Mbps
    私有网络VPN网关所在的私有网络。VPC-01|192.168.0.0/16
    子网选择VPN网关所在的子网。subnet1|192.168.1.0/24

    BGP ASN

    设置VPN网关的ASN(Autonomous System Number)。

    • VPN网关BGP ASN有效范围为:64512 ~ 65534 、4200000000 ~ 4294967294。
    • VPN网关BGP ASN不可与AWS侧的ASN重复。

    65501

    功能配置
    IPsec连接能力是否开启IPsec连接能力,开启后可使用IPsec VPN功能,可同时开启SSL连接能力。开启
    SSL连接能力是否开启SSL连接能力,开启后可使用SSL VPN功能,可同时开启IPsec连接能力。关闭
    更多信息
    项目资源所属项目,固定为进入创建页面前选择的项目Project-1。不同项目间,云资源不可共享。Project-1

  5. 配置完成后,单击“确认订单”按钮,并请根据控制台指引查阅并确认相关协议。

  6. 单击“立即购买”按钮进行支付,完成购买。VPNGW-Volcano创建成功后,系统分配的网关出口IP为180.XX.XX.109

步骤二:在AWS侧创建VPN资源

以下内容需要在AWS控制台进行操作,此处相关操作配置仅供参考,详细配置及说明请以AWS官网为准,如有疑问请咨询AWS平台。

  1. 创建客户网关。
    使用AWS账号登录虚拟专用网络(VPN)控制台,创建客户网关。
    AWS侧的客户网关就是指火山引擎侧的VPN网关,创建AWS客户网关实际是把火山引擎VPN网关的信息注册到AWS。创建完成后客户网关的ID为:cgw-s01kd****3m

    参数说明示例
    Name tag客户网关输入名称。Volcano-Gateway
    BGP ASN客户网关的边界网关协议 (BGP) 自治系统编号 (ASN) ,即火山引擎VPN网关的BGP ASN。65501
    IP address客户网关设备的静态 Internet 可路由 IP 地址,即火山引擎VPN网关的出口IP。180.XX.XX.109

  2. 创建虚拟私有网关。
    AWS侧虚拟私有网关作为AWS VPC的出口网关,创建完成后虚拟私有网关的ID为:vgw-e2fje****f9

    参数说明示例
    Name tag虚拟私有网关的名称。AWS-toVolcano
    Autonomous System Number (ASN)AWS侧虚拟私有网关的ASN。65502

  3. 虚拟私有网关绑定VPC。
    创建虚拟私有网关后,绑定需要与火山引擎互通的VPC。选择已创建的虚拟私有网关Volcano-Gateway,然后依次选择“Actions > Attach to VPC”,在“Available VPCs”中选择待互通的VPC(本示例为VPC-02)。

  4. 创建VPN连接。
    VPN连接用于关联客户网关和虚拟私有网关。

    说明

    由于火山引擎VPN连接不支持双隧道模式,AWS侧仅需配置一条隧道。

    参数说明示例
    Name tag(名称)VPN连接的名称。AWS-connection
    Target gateway type(目标网关类型)选择目标网关类型,此处需选择Virtual private gateway。Virtual private gateway
    Virtual private gateway(虚拟私有网关)选择已创建虚拟私有网关AWS-toVolcano的ID。vgw-e2fje****f9
    Customer gateway(客户网关)选择客户网关。Existing(现有)
    Customer gateway ID选择已创建客户网关Volcano-Gateway的ID。cgw-s01kd****3m
    Routing options(路由选项)选择VPN连接的路由类型,此处应使用动态路由。Dynamic (requires BGP)
    Local IPv4 Network CIDR通过VPN连接允许访问的火山引擎侧的网段。192.168.0.0/16
    Remote IPv4 Network CIDR通过VPN连接允许访问的AWS侧的网段。172.31.0.0/16
    IPv4 for Tunnel inside IP version(隧道内部IPv4 CIDR)VPN连接的隧道网段。169.254.1.0/30
    IKE versionsIKE版本。ikev2
    Pre-shared key (PSK)预共享密钥。test@123

  5. 下载配置文件。
    VPN连接配置完成后,您可下载配置文件用于火山引擎侧创建IPsec连接,以确保AWS侧VPN连接与火山侧IPsec连接的IKE配置、DPD、IPsec配置等保持一致。详细操作请参考AWS指导文档下载配置文件
    配置文件中,Outside IP Addresses下的Virtual Private Gateway即为AWS侧的外部IP地址,本示例为3.XX.XX.32

  6. 配置路由传播。
    在虚拟私有网关绑定VPC的路由表中,开启虚拟私有网关的路由传播功能。

步骤三:在火山引擎侧创建用户网关

  1. 登录火山引擎账号,前往VPN网关控制台
  2. 在顶部导航栏,选择目标项目“Project-1”和地域“华北2(北京)”。
  3. 单击“创建用户网关”按钮。
  4. 参考下表配置用户网关,完成后单击“确定”按钮。
    参数说明取值样例
    地域选择用户网关所在的地域。华北2(北京)
    名称设置用户网关的名称。AWS-Gateway
    IP地址输入对端VPN网关的公网IP地址,即AWS侧的外部IP地址。3.XX.XX.32

    BGP ASN

    设置用户网关的ASN(Autonomous System Number),即AWS侧虚拟私有网关的BGP ASN。

    • 用户网关BGP ASN有效范围为:1 ~ 4294967294,其中137718、65535、150436不可用。
    • 用户网关BGP ASN不可与VPN网关BGP ASN重复。

    65502

    项目资源所属项目,固定为进入创建页面前选择的项目Project-1。Project-1

步骤四:在火山引擎侧创建IPsec连接

  1. 登录火山引擎账号,前往VPN网关控制台
  2. 在顶部导航栏,选择目标项目“Project-1”和地域“华北2(北京)”。
  3. 单击“创建IPsec连接”按钮。
  4. 参考下表配置IPsec连接,完成后单击“创建”按钮。其中,DPD、IKE配置、IPsec配置需要与AWS侧的VPN连接配置保持一致。
    参数
    说明
    取值样例
    基本信息
    地域选择IPsec连接所在的地域。华北2(北京)
    名称IPsec连接的名称。Volcano-connection
    项目资源所属项目,固定为进入创建页面前选择的项目Project-1。Project-1
    绑定资源

    绑定资源类型
    VPN网关

    选择新创建IPsec连接绑定的资源类型。
    选择步骤一:在火山引擎侧VPC下创建VPN网关创建的VPNGW-Volcano。

    VPN网关
    VPNGW-Volcano

    连接信息
    路由模式选择路由的模式。目的路由
    立即发起协商IPsec连接配置完成后是否立即生效。
    路由传播模式选择路由的传播模式。动态路由
    用户网关选择步骤三:在火山引擎侧创建用户网关中创建的用户网关。AWS-Gateway

    隧道网段

    本端隧道IP和对端隧道IP所在网段。隧道网段必须同时满足以下3个要求:

    • 必须在169.254.0.0/16网段内。
    • 子网掩码为/30
    • 不可在169.254.255.0/24网段内。

    169.254.1.0/30

    本端隧道IP本端隧道IP是配置在VPN网关上的BGP地址,本端隧道IP应与对端隧道IP在同一网段。169.254.1.1
    对端隧道IP对端隧道IP是配置在用户设备上的BGP地址,需与本端隧道IP在同一网段。169.254.1.2
    预共享密钥填写用于双方VPN设备IKE协商的密钥,请参照AWS操作中下载的配置文件,与配置文件中的Pre-Shared Key配置保持一致。test@123
    确认密钥请再次输入预共享密钥。test@123

步骤五:测试连通性

配置完成后火山引擎VPC与AWS VPC之间IPsec连接建立成功,需测试网络的连通性。

  1. 登录火山引擎侧VPC01下的云服务器(IP地址为192.168.2.88),具体操作请参见登录云服务器
  2. 在火山引擎云服务器实例中,执行命令ping 172.31.16.111 (172.31.16.111为AWS侧互通VPC下的EC2实例的IP地址),可正常收到AWS侧EC2回复的报文即为通信正常,表明火山引擎VPC01与AWS VPC02之间网络已通。